Конечная цель: Запустить Ваше детище в рамках домена.
Дано: 1) SQL-сервер ставил не Ваш с сайта, а обычный, лицензионный MS SQL Server 2008 SQL и AD стоят на одном и том же сервере(лишних серверов нет). 2) Установил A-Number. 3) Запустил - все работает. 4) Обрадовался грамотности продукта и простоте работы с ним. 5) Попробовал запустить на другой машине состоящей в данном домене и увидел "SQL сервер не найден". Проблемы со связью исключены. 6) Попробовал подключиться к SQL серверу через A-Number с любой машины в рамках домена из под своей, админской учетной записи - все работает. 7) Из под записи рядового пользователя - "SQL сервер не найден". 8) Стоит любого пользователя добавить в группу Domain Admins - все работает. Ограничения из групповых политик никак на ситуацию не влияют. Единственное необходимое условие - присутствие в группе Domain Admins. 9)Следовательно все дело в правах.
Теперь собственно главный вопрос: в правах к ЧЕМУ? На что нужны rw права пользователю для нормальной работы A-Number?
Вариантов так много, что решил написать Вам. Может уже были такие вопросы и есть готовый ответ?
Самый простой вариант, это подключаться не через домен (Опция- NT безопасность, в окне коннекта программы), а через аутентификацию самого MS SQL , для этого надо выбрать второй вариант - Имя и пароль на MS SQL Server , и соответственно вести логин и пароль !! При этом после удачного соединения, программа сохранит пароль входа в зашифрованном виде (и Вам не придется беспокоиться о его сохранности), а пользователю не придется вводить данные заново !!
Если хотите пускать к серверу всех именно через домен , тогда будем разбираться, вариантов (кто рубит коннект) много !! ;о))
В ответ на: Проблема с A-number в домене -
Пока ничем. Уезхал, не успев доделать. Но сам факт переноса всех пользователей из АД в SQL немного напрягает И ладно у меня их впринципе немного в данном конкретном случае. А если их 300? Всех ручками еще раз заводить, а потом следить за 2-умя базами пользователей и прав? Или VBS скрипты писать для автоматизации процесса? Как-то прямо скажем неэлегантно нихрена
В ближайшие несколько дней поковыряюсь. Отпишусь по результатам.
(На компьютере с MS SQL) Свойства системы - Удаленные сеансы - выбрать опцию - Разрешить удаленный доступ к этому компьютеру - (если надо ограничить по пользователям) жмем кнопку - Выбрать удаленных пользователей.
По поводу "неэлегантно нихрена" - назовите мне хоть одну клиент-серверную систему , где не надо назначать пользователям свойства соединения и которая игнорируя все запреты Администратора системы соединяется с сервером автоматически ??
ZlojDiadia
Пользователь Наблюдающий
Постов: 6
В ответ на: Проблема с A-number в домене -
Сел сейчас разбираться. Вот уже прочитал про необходимость добавления пользователей в RemoteDesktopUsers на серверной машинке. К сожалению это необходимое, но не достаточное действие.
Про "неэлегантно ни хрена" предлагаю тему не развивать. Неконструктивно Каюсь если задел Вас этим.
Сейчас создал в домене пользователя XXX и пытаюсь разобраться, что же мне с ним эдакого сделать, чтоб он таки подключился. На данный момент у пользователя ХХХ следующие полномочия: 1) Добавлен в обычные пользовательские группы домена(как рядовой сотрудник) 2) Добавлен в RemoteDesktopUsers + на всякий случай и для удобства тестирования в политиках ему разрешено LogOnLocally. 3) Добавлен во все группы, которые создал в домене SQL Server при установке. 4) Даны rwx права на папку с SQL базой.
Сижу сейчас под ним по RDP и пытаюсь подключиться к серверу через "NT безопасность"
Результат тот же: При подключении "Невозможно найти сервер или базу." Под админом домена: Все работает.
Вообще при работе рядового пользователя в A-Number какие используются папки на сервере? Под временные файлы или еще под что? На данный момент мой XXX не имеет прав на запись никуда на сервере, кроме как в папку базы SQL. И судя по всему этого мало.
Можно попросить Вас создать любую папку на сервере, расшарить ее , положить в нее любой текстовой файл и получить доступ на чтение к этому файлу , под простым пользователем, что будет ??
ZlojDiadia
Пользователь Наблюдающий
Постов: 6
В ответ на: Проблема с A-number в домене -
Остановился на том, чтоб завести руками всех в SQL, как мне сразу и посоветовали. Так будет быстрее и так все сразу работает. Спасибо большое за помощь. И за продукт.
Можно попросить Вас создать любую папку на сервере, расшарить ее , положить в нее любой текстовой файл и получить доступ на чтение к этому файлу , под простым пользователем, что будет ??
Под простым пользователем только прочитать и даст. На данный момент я в MS SQL Managment StudioSecurityNewLogin завел пользователя из AD выдал ему ручками права в рамках SQL + добавление в RemoteDesktopUsers = все работает. Танцы с бубном на права к файлам действительно не нужны вообще.
Хлопотно немного, но не поломаюсь Да и в конечном итоге так быстрее будет. Еще раз спасибо за помощь.
В ответ на: Проблема с A-number в домене -
На данный момент я в MS SQL Managment StudioSecurityNewLogin завел пользователя из AD выдал ему ручками права в рамках SQL
На самом деле, первоначально в свойствах SQL сервера, на вкладке Active Directory, надо нажать кнопку Add (Adds this instance of SQL Server to Active Directory), и тогда пользователей не надо будет заводить руками !!
Vitall
Пользователь Мастер
Постов: 226
В ответ на: Проблема с A-number в домене -
ZlojDiadia, такое ощущение что вы пытаетесь подключиться к серверу через NT аутентификацию, а не через внутреннюю SQL-ную. Это так? В этом у вас есть какой-то умысел?
Ну давайте разбираться Только на всякий случай задокументирую вот что: Думаю, итак уже понятно, что на роль спеца по SQL и CRM я не претендую. (собственно первый раз CRM взялся настраивать и MS SQL 2008 тоже первый раз вижу, спасает только хороший багаж общих знаний) Поэтому если вдруг что, не надо метать в меня чайники.
Теперь по сущетсву: 1) С доступом к файлу проблем в принципе быть не может, потому что рядовой юзер по-умолчанию читать файлы на сервере. В случае C:Windows* или подобном, сам разрешу читать при необходимости.
2) По ODBC: Microsoft SQL Server ODBC Driver Version 06.00.6002
Running connectivity tests...
Attempting connection Connection established Verifying option settings Disconnecting from server
TESTS COMPLETED SUCCESSFULLY!
3) "На самом деле, первоначально в свойствах SQL сервера, на вкладке Active Directory, надо нажать кнопку Add (Adds this instance of SQL Server to Active Directory), и тогда пользователей не надо будет заводить руками !!"(с)
Вот тут бы поподробнее Я к сожалению такой чудо-кнопки в MS SQL Server Managment Studio не обнаружил. Видать плохо искал.
4) "ZlojDiadia, такое ощущение что вы пытаетесь подключиться к серверу через NT аутентификацию, а не через внутреннюю SQL-ную. Это так? В этом у вас есть какой-то умысел?"
Да это так. Умысел прост как медный таз - минимизировать процесс настройки и дальнейшего сопровождения.
Обрисую еще раз картинку. Мне не понравилась изначально идея заводить каждого нового сотрудника: в АД+давать права, в SQL+давать права, в A-Number+давать права. Если пункт "A-Number+давать права" вполне оправдан и логичен, то хотелось хотяб заведение в АД и SQL свести в одно целое. В общем то это уже у меня получилось. И пользователи уже ходят в A-Number через "NT аутентификацию". Единственный ньюанс что завожу на данном этапе сначала в АД потом из АД добавляю нового пользователя в Logins SQL Server'а + выдаю права на rw для CRM'овской базы. И потом уже внутри A-Number раздаю все.
Т.к. я не спец, спрашиваю: Не через зад ли я все делаю? Может еще проще и комфортнее можно?
P.S. Изначальная проблема с "Невозможно найти сервер или базу." при подключении рядового пользователя фактически была решена заведением его в SQL Logins и выдачей ему правильных прав на правильные базы.
Не через зад ли я все делаю? Может еще проще и комфортнее можно?
Не знаем даже , как определить что сложно , а что нет !! Даю ссылочку, переходите сразу к 6 пункту, а потом сами решите, что является более простым решением !! ;о))
В ответ на: Проблема с A-number в домене -
Да это так. Умысел прост как медный таз - минимизировать процесс настройки и дальнейшего сопровождения. Проще сделать так: создаёте в SQL одного(!) пользователя (или используете встроенного) с нужными правами и именно через него все пользователи подключаются к базе (используя встроенную SQL аутентификацию) и больше SQL правами голову не забиваете. Остаётся заводить пользователей в домене и в CRM. Этого в любом случае не миновать, и при адекватной настройке групп трудозатраты минимальны.
Собственно что и было предложено в 1м ответе, но по моему небыло до конца прочувствовано вопрошающим
Ronin
Пользователь Эксперт
Постов: 35
В ответ на: Проблема с A-number в домене -
сегодня с толкнулся с тойже бедой. последняя мысль - создать одного пользователя sql - и ее прописать в авторизации црм- хм, надо попробовать. опять же - какие надо выставить етому юзеру права в sql сервере. по поводу набива sql копиями пользователей ад - я думаю вариант добавить туда просто группу - Пользователи домена - более удобен. главное что ето один раз и навсегда так сказать Кстати- поставил етой группе в sql сервере права админ сервера- стало всех через црм подключать к базе без проблем. но мне кажется что ето не правильно (всмысли права такие). Вот. хотелось бы тоже услышать элегантное решение этого вопроса... Спасибо.
admin
Администратор Администратор
Постов: 2728
В ответ на: Проблема с A-number в домене -
Такой юзер есть по умолчанию - sa !! Но Вы правы, что по теории, пускать к сиквелу юзеров с правами админа, не есть хорошо, но ... юзер может сотворить что-то злонамеренно только в том случае, если он знает пароль, но ведь настройку соединения будете производить Вы, и права в самой базе к которой он будет коннектиться определяете также Вы !! Значит вопрос с безопасностью решен , так как к системным базам, через коннектор программы подключиться нельзя !!
